資訊安全

資訊安全

  1. 資訊安全組織:

    本公司設立資訊安全委員會組織架構,由事業單位其最高主管擔任委員,其副主管擔任副委員,其資訊最高主管擔任資安常委,總幹事由資安主管擔任,執行幹事由各部門主管擔任,定期召開管理審查會議,制訂與檢討資訊安全管理目標及政策。為落實資訊安全管理政策有效推動,資安組織下設立流程/運行組、稽核組、教育訓練組、緊急應變組,由各職能部門的資深管理人員擔任,以推動資訊安全管理審查會議決議之資訊安全作業,促使資訊安全管理系統能深入持續穩健運作。

  2. 資訊安全政策:

    本公司資訊安全政策為「維護公司之資訊機密性、完整性、可用性與適法性,避免當發生人為疏失、蓄意破壞或自然災害時,遭致資產不當使用、洩漏、竄改、毀損、遺失等情形,影響公司作業或損及公司權益」。
    歷年來遵循資安政策要求、定期做資訊安全宣導、員工資訊安全教育訓練等,為更適切符合國際資訊安全管理趨勢及回應客戶資訊安全要求,於 2011年開始導入 ISO27001 資訊安全管理系統,並於 2011 年 8 月在重要資訊系統服務上通過ISO27001 認證,證書有效期至2023年7月。透過 ISO27001資訊安全管理系統導入,落實資訊安全政策、保護客戶資料及公 司智慧財產、強化資訊安全事件應變能力及達成資訊安全政策衡量指標

  3. 資安風險控制:

    網路攻擊手法日新月異,資訊系統無法完全避免來自任何第三方的癱瘓式網路攻擊,網路攻擊透過電子郵件、網路釣魚、暴力破解等手法,將惡意程式植入公司內部網路進行破壞或資料竊取。破壞式的攻擊可能導致本公司生產營運中斷,資料竊取式攻擊可能造成重要的營運資料或員工、客戶等個人資料洩漏。公司積極的規劃部署資訊安全措施,不斷改善資訊安全環境,降低資訊安全風險。管理上從政策制度、組織職責、人力安全、文件管控、資產管理、通訊與作業管理、存取控制、實體環境、系統開發與維護、營運持續管理、安全事件管理、法規遵循性等方面制訂相關管理規範;技術上部署網路防火牆、入侵檢測系統、郵件安全系統、作業系統自動偵測及更新、病毒防護系統、網路准入系統、安全監控系統及弱點掃描系統等。每半年有內部及外部專業稽核人員、組織對公司資訊安全管理系統進行稽核,每年對資安運作狀況,風險控制及事件改善進行評審,並呈報至資安委員會,以控制及降低資安風險。

  4. 員工資安訓練:

    公司在新人入職時進行基本的資訊安全教育訓練。對在職人員通過定期的資安教育訓練、海報、影片宣導強化員工的資安意識。對內部資訊稽核發現的問題,透過矯正預防流程即時進行資訊安全管控,減少員工洩漏公司及客戶機密資訊;當外部資訊安全事件發生時,立即進行資安通報,強化公司資訊安全成熟度,提高員工防範外部惡意攻擊的意識等,為公司生產經營活動提供資訊安全保障。

  5. 本公司 2021年未發生任何衝擊公司營運的重大網路攻擊事件。
  6. 管理方案:

    本公司積極由資安策略、應變機制、軟硬建設等技術面,掌握資安風險的曝險程度,但考量資安保險仍是新興險種,將委請專業保險經紀公司評估比對集團風險與轉嫁程度、並審核理賠鑑識機構資質與確認理賠實務,以確保集團資安風險得到最佳的保險保障,將在研究完成後立即安排保險保障。